Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verbindungen von einer Clientanwendung zu einer Analysis Services-Instanz erfordern die Windows-Authentifizierung (integriert). Sie können eine Windows-Benutzeridentität mit einer der folgenden Methoden bereitstellen:
NTLM
Kerberos (siehe Konfigurieren von Analysis Services für eingeschränkte Kerberos-Delegierung)
EffectiveUserName in der Verbindungszeichenfolge
Einfach oder anonym (erfordert Konfiguration für DEN HTTP-Zugriff)
Gespeicherte Anmeldeinformationen
Beachten Sie, dass die Anspruchsauthentifizierung nicht unterstützt wird. Sie können kein Windows-Anspruchstoken für den Zugriff auf Analysis Services verwenden. Die Analysis Services-Clientbibliotheken funktionieren nur mit Windows-Sicherheitsprinzipien. Wenn Ihre BI-Lösung Anspruchsidentitäten enthält, benötigen Sie Windows-Identitätsschattenkonten für jeden Benutzer oder verwenden gespeicherte Anmeldeinformationen für den Zugriff auf Analysis Services-Daten.
Weitere Informationen zu BI- und Analysis Services-Authentifizierungsflüssen finden Sie unter Microsoft BI Authentication and Identity Delegation.
Grundlegendes zu Ihren Authentifizierungsalternativen
Für die Verbindung mit einer Analysis Services-Datenbank ist eine Windows-Benutzer- oder Gruppenidentität und zugehörige Berechtigungen erforderlich. Die Identität kann eine allgemeine Anmeldung sein, die von jedem verwendet wird, der einen Bericht anzeigen muss, aber ein wahrscheinlicheres Szenario enthält die Identität einzelner Benutzer.
Häufig verfügt ein tabellarisches oder multidimensionales Modell über unterschiedliche Datenzugriffsebenen, je nach Objekt oder innerhalb der Daten selbst, basierend auf der Person, die die Anforderung stellt. Um diese Anforderung zu erfüllen, können Sie NTLM, Kerberos, EffectiveUserName oder Standardauthentifizierung verwenden. All diese Techniken bieten einen Ansatz für die Übergabe verschiedener Benutzeridentitäten mit jeder Verbindung. Die meisten dieser Optionen unterliegen jedoch einer einzigen Sprungbeschränkung. Nur Kerberos mit Delegierung ermöglicht es der ursprünglichen Benutzeridentität, über mehrere Computerverbindungen zu einem Back-End-Datenspeicher auf einem Remoteserver zu fließen.
NTLM
Für Verbindungen, die angeben SSPI=Negotiate, ist NTLM das Sicherungsauthentifizierungssubsystem, das verwendet wird, wenn ein Kerberos-Domänencontroller nicht verfügbar ist. Unter NTLM kann jede Benutzer- oder Clientanwendung auf eine Serverressource zugreifen, solange die Anforderung eine direkte Verbindung von einem Client zum Server ist, die Person, die die Verbindung anfordert, über die Berechtigung für die Ressource verfügt, und die Client- und Servercomputer befinden sich in derselben Domäne.
Bei mehrstufigen Lösungen kann die Single Hop-Einschränkung von NLTM eine große Einschränkung sein. Die Benutzeridentität, die die Anforderung vornimmt, kann auf genau einem Remoteserver imitiert werden, reist aber nicht weiter. Wenn für den aktuellen Vorgang Dienste erforderlich sind, die auf mehreren Computern ausgeführt werden, müssen Sie die eingeschränkte Kerberos-Delegierung konfigurieren, um das Sicherheitstoken auf Back-End-Servern wiederzuverwenden. Alternativ können Sie gespeicherte Anmeldeinformationen oder die Basis-Authentifizierung verwenden, um neue Identitätsinformationen über eine Einzelhop-Verbindung zu übergeben.
Eingeschränkte Kerberos-Authentifizierung und Kerberos-Delegierung
Die Kerberos-Authentifizierung ist die Grundlage der integrierten Windows-Sicherheit in Active Directory-Domänen. Wie bei NTLM ist der Identitätswechsel unter Kerberos auf einen einzelnen Hop beschränkt, es sei denn, Sie aktivieren die Delegierung.
Um Multi-Hop-Verbindungen zu unterstützen, stellt Kerberos sowohl eingeschränkte als auch nicht eingeschränkte Delegierung bereit, für die meisten Szenarien gilt die eingeschränkte Delegierung jedoch als bewährte Methode für die Sicherheit. Durch eingeschränkte Delegierung kann ein Dienst das Sicherheitstoken der Benutzeridentität an einen bestimmten Dienst auf einem Remotecomputer übergeben. Bei mehrstufigen Anwendungen ist das Delegieren einer Benutzeridentität von einem Anwendungsserver auf mittlerer Ebene zu einer Back-End-Datenbank wie Analysis Services eine häufige Anforderung. Ein tabellarisches oder mehrdimensionales Modell, das unterschiedliche Daten basierend auf der Benutzeridentität zurückgibt, würde beispielsweise eine Identitätsdelegierung von einem Dienst auf mittlerer Ebene erfordern, um zu vermeiden, dass der Benutzer Anmeldeinformationen erneut eingibt oder sicherheitsrelevante Anmeldeinformationen auf andere Weise erhält.
Die eingeschränkte Delegierung erfordert eine zusätzliche Konfiguration in Active Directory, bei der Dienste sowohl am Senden als auch empfangenden Ende der Anforderung explizit für die Delegierung autorisiert sind. Obwohl es vorab Konfigurationskosten gibt, werden Kennwortaktualisierungen unabhängig in Active Directory verwaltet, sobald der Dienst konfiguriert ist. Sie müssen gespeicherte Kontoinformationen in Anwendungen nicht aktualisieren, so wie es notwendig wäre, wenn Sie die weiter unten beschriebene Option für gespeicherte Anmeldeinformationen verwenden würden.
Weitere Informationen zum Konfigurieren von Analysis Services für eingeschränkte Delegierung finden Sie unter Konfigurieren von Analysis Services für eingeschränkte Kerberos-Delegierung.
Hinweis
Windows Server 2012 unterstützt eingeschränkte Delegierung über Domänen hinweg. Im Gegensatz dazu müssen beim Konfigurieren der eingeschränkten Kerberos-Delegierung in Domänen auf niedrigeren Funktionsebenen, z. B. Windows Server 2008 oder 2008 R2, sowohl Client- als auch Servercomputer Mitglied derselben Domäne sein.
EffectiveUserName
EffectiveUserName ist eine Verbindungszeichenfolgeneigenschaft, die zum Übergeben von Identitätsinformationen an Analysis Services verwendet wird. PowerPivot für SharePoint verwendet es zum Aufzeichnen von Benutzeraktivitäten in den Verwendungsprotokollen. Excel Services und PerformancePoint Services können sie verwenden, um Daten abzurufen, die von Arbeitsmappen oder Dashboards in SharePoint verwendet werden. Sie kann auch in benutzerdefinierten Anwendungen oder Skripts verwendet werden, die Vorgänge für eine Analysis Services-Instanz ausführen.
Weitere Informationen zur Verwendung von EffectiveUserName in SharePoint finden Sie unter Use Analysis Services EffectiveUserName in SharePoint Server 2010.
Standardauthentifizierung und anonymer Benutzer
Die Standardauthentifizierung bietet noch eine vierte Alternative zum Herstellen einer Verbindung mit einem Back-End-Server als bestimmter Benutzer. Bei Verwendung der Standardauthentifizierung werden der Windows-Benutzername und das Kennwort an die Verbindungszeichenfolge übergeben und zusätzliche Anforderungen an die Drahtverschlüsselung eingeführt, um sicherzustellen, dass vertrauliche Informationen während der Übertragung geschützt sind. Ein wichtiger Vorteil bei der Verwendung der Standardauthentifizierung ist, dass die Authentifizierungsanforderung Domänengrenzen überschreiten kann.
Bei der anonymen Authentifizierung können Sie die anonyme Benutzeridentität auf ein bestimmtes Windows-Benutzerkonto (standardmäßig IUSR_GUEST) oder eine Anwendungspoolidentität festlegen. Das anonyme Benutzerkonto wird für die Analysis Services-Verbindung verwendet und muss über Datenzugriffsberechtigungen für die Analysis Services-Instanz verfügen. Wenn Sie diesen Ansatz verwenden, wird nur die mit dem anonymen Konto verknüpfte Benutzeridentität für die Verbindung verwendet. Wenn Ihre Anwendung zusätzliche Identitätsverwaltung erfordert, müssen Sie einen der anderen Ansätze auswählen oder eine von Ihnen bereitgestellte Identitätsverwaltungslösung ergänzen.
Standard und Anonym sind nur verfügbar, wenn Sie Analysis Services für den HTTP-Zugriff konfigurieren, indem Sie IIS und die msmdpump.dll verwenden, um die Verbindung herzustellen. Weitere Informationen finden Sie unter Configure HTTP Access to Analysis Services on Internet Information Services (IIS) 8.0.
Gespeicherte Anmeldeinformationen
Die meisten Anwendungsdienste der mittleren Ebene enthalten Funktionen zum Speichern eines Benutzernamens und Kennworts, die anschließend zum Abrufen von Daten aus einem niedrigstufigen Datenspeicher, wie z. B. Analysis Services oder dem relationalen SQL Server-Modul, verwendet werden. Als solche bieten gespeicherte Anmeldeinformationen eine fünfte Alternative zum Abrufen von Daten. Einschränkungen bei diesem Ansatz umfassen Wartungsaufwand im Zusammenhang mit der Beibehaltung von Benutzernamen und Kennwörtern auf dem neuesten Stand und die Verwendung einer einzelnen Identität für die Verbindung. Wenn Ihre Lösung die Identität des ursprünglichen Aufrufers erfordert, wären gespeicherte Anmeldeinformationen keine praktikable Alternative.
Weitere Informationen zu gespeicherten Anmeldeinformationen finden Sie unter Erstellen, Ändern und Löschen von freigegebenen Datenquellen (Shared Data Sources, SSRS) und Verwenden von Excel Services mit Secure Store Service in SharePoint Server 2013.
Siehe auch
Verwenden des Identitätswechsels mit Transportsicherheit
Konfigurieren des HTTP-Zugriffs auf Analysis Services für Internetinformationsdienste (IIS) 8.0
Konfigurieren von Analysis Services für die eingeschränkte Kerberos-Delegierung
SPN-Registrierung für eine Analysis Services-Instanz
Herstellen einer Verbindung mit Analysis Services